Administracion Avanzada, fuser y w

Usuarios que acceden a los archivos: fuser

Puede ser útil para determinar qué procesos o usuarios que actualmente tienen acceso a determinados archivos. Supongamos, por ejemplo, quiere desmontar un sistema de archivos montado en / mnt. umount devuelve "dispositivo está ocupado". El fusor de comandos se puede utilizar para determinar qué procesos se están accediendo al dispositivo:

@ mercurio: ~> fuser-v / mnt / *

                      PID ACCESO DE USUARIOS DE MANDO

/ mnt / notes.txt tux 26.597 f. ... less

Tras la terminación del proceso sea menos, que se ejecuta en otro terminal, el sistema de archivos con éxito se puede desmontar. Cuando se utiliza con la opción-k, el fusor se matan los procesos de acceso al fichero.

¿Quién es y que está haciendo?: w

Con el comando w, podemos saber quién está conectado en el sistema y lo que cada usuario está haciendo. Por ejemplo:

@ mercurio: ~>  w

 02:11:14 up 3 days, 20:39,  3 users,  load average: 0,00, 0,00, 0,00

USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT

user01  pts/0    192.168.1.52         21:50           0.00s   0.02s    0.00s     w

user02  pts/3    192.168.1.24         Thu09        59.00s   0.00s    0.00s     telnet 192.168.1.1

user03  pts/8    192.168.1.59         Thu10          3:46     0.02s    0.02s     ssh -l user03 192.168.5.41

Si los usuarios de otros sistemas han conectado de forma remota, el parámetro-f muestra los equipos de los que han establecido la conexión.

[Videos] An introduction to Metasploit Community

Aquí disponéis de algunos links a vídeos que hablan de Metaexploit. Están en ingles y los pongo para estudio sobre seguridad de red.

• Basic Exploitation vs. Smart Exploitation
• Importing Nexpose Scan Data into Metasploit Community
• Using Metasploit Community with Nexpose
• Basic Exploitation with Metasploit Community Edition
• Scanning Networks with Metasploit Community
• How to update Metasploit Express and Metasploit Pro
• How to add custom wordlists to Metasploit Pro
• How to trial Metasploit Pro with your Metasploit Express installation
• Metasploit Pro 3.7 – Creating Additional Users
• Updating Metasploit Framework on BackTrack 5
• Metasploit Pro 3.7 – Email Setup for Social Engineering Campaigns
• Metasploit Pro 3.7 – Metasploit Pro Console
• Metasploit Pro 3.7 – Import NeXpose Scan Data
• Metasploit Pro 3.7 – NeXpose Scan
• Metasploit Pro 3.7 – Automatic Exploit
• Metasploit Pro 3.7 – Creating a Project
• Metasploit Megaprimer Part 16
• Metasploit Megaprimer Part 17
• Metasploit Megaprimer Part 14
• Metasploit Megaprimer Part 15
• Metasploit Megaprimer Part 13
• Metasploit Megaprimer Part 12
• Metasploit Megaprimer Part 11
• Metasploit Megaprimer Part 10
• Metasploit Megaprimer Part 8
• Metasploit Megaprimer Part 9
• Metasploit Megaprimer Part 7
• Metasploit Megaprimer Part 6
• Metasploit Megaprimer Part 5
• Metasploit Megaprimer Part 4
• Metasploit Megaprimer Part 3
• Metasploit Megaprimer Part 2
• Metasploit Megaprimer Part 1

Fuentes: 

http://www.cyberhades.com/2011/10/19/metasploit-community-edition-videos/

https://community.rapid7.com/community/metasploit?view=video

Problemas con el Audio, hda-intel: spurious response

Uno de los problemas sin resolver por parte de la gente Ubuntu es el audio.

En concreto:

[   17.152097] hda-intel: spurious response 0x0:0x0, last cmd=0xcf0012

-----------------------------------------------

0 [VT82xx         ]: HDA-Intel - HDA VIA VT82xx

                             HDA VIA VT82xx at 0xfebfc000 irq 17
 1 [UART           ]: MPU-401 UART - MPU-401 UART
                             MPU-401 UART at 0x330, irq 5

-----------------------------------------------

80:01.0 Audio device: VIA Technologies, Inc. VT8237A/VT8251 HDA Controller (rev 10)

En la siguiente dirección disponemos de un troubleshooting a seguir antes de buscar ayuda en google:
https://help.ubuntu.com/community/SoundTroubleshootingProcedure

Este procedimiento no funciona en todos los casos.

Cambiar la prioridad de los procesos

Cuando se habla de procesos, prioridad tiene que ver con el manejo del tiempo del procesador. El procesador o CPU es como un juego de malabares múltiples al mismo tiempo. A veces podemos tener suficiente espacio para tomar en varios proyectos. A veces sólo puede centrarse en una cosa a la vez. Veces que algo importante otra aparece y queremos dedicar toda nuestra energía en la solución de ese problema, mientras que poniendo las tareas menos importantes en un segundo plano.

En Linux se puede establecer directrices para la CPU a seguir cuando se está mirando a todas las tareas que tiene que hacer. Estas directrices se llaman niceless o nice value. La escala de niceness Linux va desde -20 hasta 19. Cuanto menor sea el número, mas prioridad consigue la tarea. Si el valor de niceless es un número tan alto como 19 la tarea se establecerá como la prioridad más baja. El valor predeterminado para nice value es cero.

Mediante el uso de esta escala, podemos asignar nuestros recursos del CPU de una forma más adecuada. Bajando la prioridad de los programas que no son importantes se puede ajustar a un niceless superior mientras que los programas de alta prioridad, como los demonios y los servicios se puede configurar para recibir más atención de la CPU. Incluso se puede dar a un usuario específico en un niceless inferior para todos los de su / procesos para que pueda limitar su capacidad para frenar los servicios de la computadora central.

Administracion avanzada, cat /proc/cpuinfo

Si queremos saber el estado del procesador junto con la cantidad de CPU que está siendo utilizado actualmente por nuestro sistema operativo lo podemos hacer con este comando.

1. cat /proc/cpuinfo

En el caso de cat /proc/cpuinfo podemos ver las capacidades que tiene el procesador , aquí dejo algunos de los flags:

Administracion avanzada, cat /proc/meminfo y vmstat

Si quieres ver la cantidad de memoria ram total y la que te queda libre, puedes hacerlo tipeando:

cat /proc/meminfo | head -n 2

Meminfo es un fichero que muestra gran cantidad de información sobre el sistema de memoria en Linux. Aqui va un detalle de lo que contiene:

lspci lista todos los dispositivos

lspci es un comando usado para listar los dispositivos PCI instalados en nuestro PC. Este comando es un útil para ver que tenemos instalados o que driver está usando el dispositivo en caso de fallo, un ejemplo:

debian:~$ lspci
04:00.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL8101E/RTL8102E PCI Express Fast Ethernet controller (rev 01)


Como podemos ver el comando nos da la siguiente información: 

Identificacion del Dispositivo: 04:00.0
Dispositivo, fabricante , modelo, etc: Ethernet controller: Realtek Semiconductor Co., Ltd. RTL8101E/RTL8102E PCI Express Fast Ethernet controller (rev 01)


Ahora, como root, vamos a usar la opción -s  y -v. La opción -s es para especificar el dispositivo y la opción -v para que nos de mas información acerca de ese dispositivo. Para ello necesitamos conocer el identificados del dispositivo, en este caso, 04:00.0 y veremos lo siguiente: 

[LINUX] Comando NC

NC es (o netcat) una utilidad que se utiliza para casi cualquier cosa. Se puede abrir conexiones TCP, enviar paquetes UDP, escuchar en puertos arbitrarios de TCP y UDP, hacer  escaneo de puertos, routing, obtener la version del servidor usado, etc.


nc -v  <IP_EQUIPO_REMOTO> <PUERTO_DESTINO>


ejemplo

$ nc -v   192.168.1.25   21
192.168.1.25.priv [192.168.1.25] 21 (ftp) open
220 (vsFTPd 2.0.5)


En este caso nos dice que el equipo con la ip 192.168.1.25 tiene un servidor FTP corriendo por el puerto 21 y el software usado para correr ese servidor es vsFTPd version 2.0.5.

[DEBIAN 6] Instalar y configurar wifi

Por si alguno , tras instalar debian 6 , se encontró que no tenia ningún gestor de conexiones wifi, aquí indico como hacerlo:

1ª Instalar los paquetes:

apt-get install network-manager network-manager-gnome

* Si usais KDE en debian 6 , teneis que instalar network-manager-kde
** Vuestro usuario debe pertenecer al grupo netdev, al instalar os lo preguntará , pero sino lo hace añadirlo a mano en /etc/group

2º Modificar el fichero /etc/NetworkManager/NetworkManager.conf

vi /etc/NetworkManager/NetworkManager.conf

Teneis que añadir la siguiente entrada:

managed=true

Tras todo esto, reiniciais. Y ya está.

Fuente: http://www.esdebian.org/foro/47467/networkmanager-no-logra-conectar-wifi

[JUNIPER] GNS3 Instalar Qemu correctamente con Ubuntu.

Si queremos montar un laboratorio con equipos Juniper y Cisco e interconectarlos para probar , estudiar y demás con GNS3, debemos instalar correctamente Qemu.

En primer lugar hay parchear Qemu ya que no soporta trafico multicast, necesario para montar el laboratorio que queremos.

El proceso es muy sencillo:

Instalamos las dependencias necesarias:
apt-get install libncurses5-dev zlib1g-dev libsdl-dev libpcap-dev

Descargamos y descomprimimos qemu:
wget http://download.savannah.gnu.org/releases/qemu/qemu-0.11.0.tar.gz
tar xvzf qemu-0.11.0.tar.gz

Accedemos al directorio qemu y nos bajamos el parche:
cd qemu-0.11.0
wget http://downloads.sourceforge.net/gns-3/qemu-0.11.0-olive.patch?download



Parcheamos qemu:

sudo apt-get install patch
patch -p1 -i qemu-0.11.0-olive.patch

Configuramos e instalamos:
./configure --target-list=i386-softmmu
make
make install

Configurar lm-sensors y Hddtemp en Ubuntu y Debian

Instalación de HDDTEMP y configuración.
Nos vamos a consola y ponemos:
sudo aptitude install hddtemp

Nos preguntará si queremos que se arranque al inicio, la interfaz y el puerto, seleccionamos todo que sí y reiniciamos la máquina.

Una vez reiniciada ponemos en consola:
sudo hddtemp -d /dev/sda

y ya tendremos el programa ejecutándose en segundo plano.
Instalación de lm-sensors y configuración.
Nos vamos a consola y ponemos:
sudo aptitude install lm-sensors

Ahora buscamos los sensores del sistema con:
sudo sensors-detect sensord

PROBANDO Debian 6

Después de probar Mandriva he pensado que debía probar Debian 6. Según la web http://www.linux-on-laptops.com/toshiba.html el mejor linux para mi lapto p es Debian. Es una buena web donde te dicen cual es la mejor distro para vuestro Laptop.

Antes de instalar nada es  recomendable leerse la documentación existente en la web oficial de Debian ya que disponemos de varias formas de instalarlo. Podemos realizar una instalación mínima desde un usb o un CD hasta una instalación completa, es decir, descargando todos los DVD.

Tengo que decir que tras probarlo durante varios meses, solo he encontrado un problema con un disco duro externo que se conecta por usb. El problema en cuestión es que al desmontar la unidad todo el sistema se bloquea ("crash"). Este disco duro usa dos entradas USB simultaneas una para la alimentación y la otra para los datos.

Por lo demás no tengo ninguna queja y no me ha dado ninguna problema.

Comentando: Zyxel P-660HW-D1

 Telefónica está regalando entre los nuevos clientes el router Zyxel P-660HW. Este router que da buenos resultados en cuando a navegación por internet no es demasiado seguro debido al firmware que trae por defecto.


Para demostrar su seguridad he decidido usar la distribución linux Backtrack  5. Con esta distribución voy a tratar de sacar toda la información disponible sin el correspondiente usuario y contraseña de dicho router. 


Para ello, supongamos que somo un vecino un tanto curioso y hemos conseguido acceder a la red wifi de otro vecino, o que queremos acceder al router de otra persona desde internet.


Vamos al lio. 


Mediante el siguiente comando vamos a sacar toda la información que podamos:
 * snmpcheck es un simple script en perl que se usa para enumerar información en equipos que usan SNMP.


./snmpcheck-1.8.pl -t 192.168.1.1
snmpcheck.pl v1.8 - SNMP enumerator
Copyright (c) 2005-2011 by Matteo Cantoni (www.nothink.org)

 [*] Try to connect to 192.168.1.1
 [*] Connected to 192.168.1.1
 [*] Starting enumeration at 2011-xx-xx xx:xx:xx

 [*] System information
 -----------------------------------------------------------------------------------------------

 Hostname               : XXXXXXXXX
 Description            : P-660HW-D1
 Uptime system          : 0.00 seconds
 Uptime SNMP daemon     : 6 day, 00:35:24.00
 Contact                : 7
 Motd                   : -

PROBANDO: Mandriva 2011

Desde hace unos días estoy probando Mandriva 2011 en mi laptop Toshiba Satellite A200-NH.

De momento puedo decir que la fama de Mandriva por su extrema sencillez es una fama bien merecida. Solo he podido encontrar pequeños fallos, al principio, que a mi entender no suponen ningún problema para un usuario novel o avanzado.

Características que he podido observar:

- Alto consumo de CPU y Ram.
- Configuración sencilla desde una única aplicación.
- Configurar el firewall mediante shorewall.
- Una característica que creo que hay que destacar es la carencia de información sobre dicha distribución. Al contrario que ubuntu , es difícil encontrar información destacable sobre mandriva.

Errores: 

* En otras distribuciones como Ubuntu y open suse he tenido problemas de cobertura y cortes de conexión con el wifi de mi laptop, en este caso he podido observar una disminución de la cobertura.

* Imposible conectarse a internet desde el modem USB de Movistar. Da un error grave que hace imposible incluso conectarse al centro de red y configurarlo.

* Imposible grabar imágenes DVD con k3b o con brasero. Este error surge a media grabación por lo que deja inservible el DVD.

* De vez en cuando se bloquea el "rosa-launcher" (lanzador de aplicaciones) y provoca el bloqueo del RocketBar (antiguamente cAonocido como ROSA Panel). 

* Real time kit da error.

* El tamaño de la papelera es muy reducido, si quieres borrar una grande cantidad de información te dirá que está llena (mas de 1 Gb). Entonces o vacías la papelera o borras los ficheros a mano vía consola.

* Shorewall es un software usado por mandriva para configurar el firewall. Este a veces no se activa en el arranque.

* El lector USB o el CD/DVD, a veces, no cargan de forma automática.

Posibilidades:

- Posibilidad de instalar los Codec y drivers privativos desde los repositorios oficiales de Mandriva.

- Posibilidad de instalar Virtual Box desde los repositorios oficiales de mandriva.


- Posibilidad de activar y configurar el control parental. Evita que los niños vean webs que no deben.

En definitiva es una distribución que presenta pocos fallos pero los que presenta son muy grabes.

Activar debug en Linux.

En algunas ocasiones, necesitamos saber porque falla un comando en particular. Para este fin disponemos de varias herramientas en linux que nos permite activar debug de ese comando, esto es :


strace es una utilidad de línea de comandos para comprobación de errores en el sistema operativo GNU/Linux. Permite monitorizar las llamadas al sistema usadas por un determinado programa y todas las señales que éste recibe. Su funcionamiento es posible por una característica del núcleo linux llamada ptrace. Es similar a la aplicación truss disponible en otros sistemas Unix.
Strace nos permite ver las llamadas al sistema, que los comandos hacen. Para esto podemos hacerlo de dos formas:

strace <comando>

Podemos hacer que strace nos muestre las salida del comando en un fichero:

strace -o <fichero> <comando>

starce -o debug.txt ls

Tambien podemos auditar las llamadas que está haciendo un comando en ese momento. Unicamente necesitamos saber el PID (ps aux nos lo dice).

strace -p <PID del Comando>

Avahi Daemon, como desactivarlo

Avahi permite detectar automáticamente los recursos de una red local y conectarse a ella.
Avahi se ocupa de:

• asignar automáticamente una dirección IP incluso sin presencia de un servidor DHCP
• hacer la función de DNS (cada máquina es accesible con el nombre nombreMaquina.local)
• hacer una lista de los servicios y acceder a ellos fácilmente (las máquinas de la red local son informadas de la llegada o salida de un servicio).

Esto facilita el uso compartido de archivos, impresoras, etc.
Avahi es una implementación del protocolo ZeroConf compatible con Rendezvous, Bonjour de Apple.

Sin embargo:

• Consume un poco de memoria (alrededor de 248 kb).
• Abre 2 puertos de red (UDP 32768 y 5353)
• En ciertos casos la red se pone más lenta.

Si no lo necesitas y deseas desactivarlo, pero si aun desactivándolo de la lista de servicios (Menu sistema > Administracion > Servicios), sigue iniciándose.

Entonces para desactivarlo completamente, edita el archivo /etc/default/avahi-daemon como root: sudo gedit /etc/default/avahi-daemon

Cambia la línea: AVAHI_DAEMON_START=1
a: AVAHI_DAEMON_START=0

En el próximo arranque, AVAHI_DAEMON_START=0 no se ejecutará.

Fuente: http://es.kioskea.net/faq/632-desactivar-avahi-daemon

Distros live-cd para solucionar problemas relacionadas con nuestro PC

RIP Linux

Web oficial


Una distro que requiere al menos 512 megas de ram para funcionar por lo que no podemos decir que es liviana, pero a cambio viene con muchisimas herramientas que permitiran entre otras muchas cosas:

• Recuperar nombres y pass de usuarios windows
• Recuperar pass de BIOS
• Redimensionar sistemas NTFS sin perder datos
• Comprobar y reparar sistemas ext2, ext3, jfs, xfs, reiserfs, reiser4

Gparted live

Web Oficial

Con esta distro podemos: 

• Crear tablas de particiones (e.g., msdos, gpt)
• Realizar acciones con particiones como:
  
  
  
  
  
  • crear o borrar
  • re dimensionar o mover
  • test
  • etiquetar
  • copiar y pegar
• Manipular sistemas de ficheros como:
  • btrfs
  • ext2 / ext3 / ext4
  • fat16 / fat32
  • hfs / hfs+
  • linux-swap
  • ntfs
  • reiserfs / reiser4
  • ufs
  • xfs
• Y mas características que podéis leer en la web oficial.

Fuente: http://paraisolinux.com

PAM

Los programas que conceden accesos a usuarios en un sistema utilizan autenticación para verificar sus identidades (para establecer que un usuario es quien dice ser).

Históricamente, cada programa tiene su forma particular de realizar la autenticación. Bajo Red Hat Enterprise Linux, muchos programas son configurados para usar un proceso de autenticación centralizado llamado PAM (Pluggable Authentication Modules).

PAM utiliza una arquitectura conectable y modular, que otorga al administrador del sistema de una gran flexibilidad en establecer las políticas de autenticación para el sistema.

En la mayoría de los casos, el archivo de configuración PAM predeterminado para una aplicación que soporta PAM es suficiente. Sin embargo, algunas veces es necesario modificar el archivo de configuración. Debido a que un error en la configuración de PAM puede comprometer la seguridad del sistema, es importante que comprenda la estructura del estos archivos antes de hacer cualquier modificación

Ebtables, herramienta de filtrado capa 2. [Parte 2]

Una vez que ya tenemos instalado, configurado y corriendo ebtables e iptables, vamos a configurar ebtables y analizar los resultados:

Un ejemplo de configuración ebtables sería:

# Permitimos frames desde equipos con una <MAC_ORIGEN> desde la interface br0 o br1, según queramos permitirlo desde la lan o desde la wan.
ebtables -t filter -A INPUT --logical-in br0 -s <MAC_ORIGEN> -j ACCEPT
ebtables -t filter -A INPUT --logical-in br1 -s <MAC_ORIGEN> -j ACCEPT 
#Evitamos frames que no tengan como origen una <MAC_ORIGEN>. Puedes ser la mac del Router ADSL y así evitar el ARPSPOOF.
ebtables -t filter -A INPUT -s ! <MAC_ORIGEN> -j DROP
# Resto de reglas
ebtables -t filter -A INPUT -p IPv4 -j ACCEPT
ebtables -t filter -A INPUT -p ARP -j LOG
ebtables -t filter -A INPUT -p ARP -j ACCEPT
ebtables -t filter -A INPUT -p Length -j ACCEPT
ebtables -t filter -A INPUT --log-level info --log-prefix "EBFW" --log-ip
# Drop el resto. 
ebtables -t filter -A INPUT -j DROP

Si queremos evitar el arp spoofing :

ebtables -t filter -A INPUT -p IPv4 --ip-src 192.168.1.1 -s ! 00:11:22:33:44:55 -j DROP

Ahora ¿como vemos los frames que están pasando por las diferentes reglas?

# ebtables -t filter -L --Lc

Al ejecutar el comando nos dará una salida como esta.

Bridge table: filter 

Bridge chain: INPUT, entries: 5, policy: ACCEPT 
-p IPv4 -j ACCEPT , pcnt = 2531 -- bcnt = 457577
-p ARP -j ACCEPT , pcnt = 9 -- bcnt = 414 
-p Length -j ACCEPT , pcnt = 0 -- bcnt = 0 
--log-level info --log-prefix "EBFW" --log-ip -j CONTINUE , pcnt = 0 -- bcnt = 0 
-j DROP , pcnt = 0 -- bcnt = 0  


Bridge chain: FORWARD, entrie: 1, policy: DROP 
-j ACCEPT , pcnt = 0 -- bcnt = 0  


Bridge chain: OUTPUT, entries: 1, policy: ACCEPT 
-j ACCEPT , pcnt = 2107 -- bcnt = 287193

Como podemos observar hay dos contadores, pcnt y bcnt:

pcnt muestra, normalmente, el numero de tramas que pasan por la regla 
mientras que bcnt muestra el numero de bytes que pasan por esa regla.

Ebtables, herramienta de filtrado de capa 2. [Parte 1]

Ebtables es una herramienta utilizado para filtrar trafico en sistemas usados como "Bridge". Esta herramienta, a diferencia de iptables, tiene ciertas cualidades que la hacen una herramienta idónea para filtrar trafico en sistemas puentes.
Por ejemplo si disponemos de un PC Linux el cual queremos transformarlo en un bridge , esta herramienta nos permitirá filtrar el trafico que atraviese dicho bridge.
Si queremos saber como crear un bridge usando un PC y una distro Linux como debian, podemos ir aqui. Dicha web nos explicará de una forma sencilla como crear un bridge.


Características:

* Uso similar a iptables pero menos complicado.
* Filtrado Ethernet, (Inspecciona las tramas Ethernet para ,posteriormente, poder descartar o permitir dichas tramas)
* Capacidad de enrutar trafico utilizando como fuente de información , únicamente, la dirección MAC de origen y destino.
* Capacidad de filtrar o enrutar trafico basado en direcciones Unicast, Multicast, Broadcast or BGA (Bridge Group Address).

¿De que nos protege EBTABLES?

Ebtables es capaz de protegernos de los siguientes ataques (con algún ejemplo): 

* Ataques basados en MAC y ARP

• ARP Spoofing

* Ataques basados en VLAN

• VLAN Hopping Attack.

* Ataques basados en STP

[CISCO PIX] Virtualizar un Cisco Pix con GNS3.

POr si estáis estudiando alguna de las certificación de Cisco y queréis practicar con un cisco Pix virtualizado, comento como instalarlo. Lo primero, nos descargamos las aplicaciones necesarias:

GNS3 v. 0.7.3
http://downloads.sourceforge.net/gns-3/GNS3-0.7.3-src.tar.bz2

IOS preparada de un Cisco Pix
http://rapidshare.com/files/359714613/CiscPix.7z

No es necesario rompernos la cabeza para preparar una IOS de un Pix, una persona ya lo ha hecho por nosotros. (7z es una forma de compresión zip si no lo tenéis , podéis instalarlo sudo apt-get install p7zip para versión Ubuntu).

El resto de programas que necesitamos son qemu y qemu-kvm. 

Ahora solo toca configurar correctamente nuestro GNS3. 

[JUNIPER] Virtualizar JUNOS con QEMU o VIRTUALBOX para linux.

Últimamente muchas empresas están comprando equipos Juniper en lugar de Cisco para su red Core. Los que podemos trabajos con ellos sabemos que son equipos mas seguros y fáciles a la hora de configurarlos o realizar un troubleshooting. Por esta razón voy a explicar como virtualizar una JUNOS de Juniper para poder estudiar en casa  alguna de las certificaciones JUNIPER.

Antes de seguir, es recomendable leer el manual de instalación de GNS3, lo puedes bajar de aqui.
Por esto voy explicar como:

1.0 Convertir olive-base.img a olive-base.vdi

2.0 Usar JUNOS mediante Qemu

3.0 Configurar GNS3 para poder usar nuestro Juniper 

4.0 Problemas conocidos 

En primer lugar , y antes de nada, debemos comprobar que nuestro procesador soporta virtualizacion y en definitiva si nuestro Pc con linux soporta KVM, necesario para cargar la JUNOS virtualizada con GNS3 y crear una red. En una consola de comando ejecutamos (esto es imprescindible si queremos integrarlo con GNS3 para montar una red con equipos cisco):

Para ello basta con ejecutar:

$sudo egrep '^flags.*(vmx|svm)' /proc/cpuinfo

Si este comando produce alguna salida es que nuestro procesador soporta virtualización de hardware y podemos usar KVM, sino puedes seguir con este procedimiento pero debes saber que no podras usar la JUNOS virtualizada con GNS3 ni cargarla con qemu, porque te dará un error del tipo "Could not initialize KVM, will disable KVM support".

Nota: KVM es incompatible con Virtualbox, por tanto si instalas KVM y tratas de usar cualquier S.O. con Virtualbox debes borrarlo, previamente,  del kernel (modprobe -r kvm_amd o  modprobe -r kvm_intel) posteriormente puedes volverlo a cargar en kernel si necesitas usar kvm con la opcion -i.

Han encontrado una vulnerabilidad que afecta a la mayoria de los firewall comunes.

La compañía NSS Labs ha estado realizando pruebas muy rigurosas sobre soluciones Firewall de otras compañías y ha encontrado un agujero de seguridad critico que afecta a casi todos. Los productos que han sido probados son :


Check Point Power-1 11065
Cisco ASA 5585
Fortinet Fortigate 3950
Juniper SRX 5800
Palo Alto Networks PA-4020
SonicWALL NSA E8500

Un atacante podría acceder a un servidor de una red protegida mediante un ataque llamado "TCP split-handshake". Para entender este ataque hay que recordar como Intercambio de 3 vías:

 

Cae un 'botnet' pirata que había infectado dos millones y medio de ordenadores

Cae un 'botnet' pirata que había infectado dos millones y medio de ordenadores.
EE UU calcula que los delincuentes robaron 69 millones de euros.- Obtenían las claves con un virus que leía los movimientos del teclado

Fuente: EL PAÍS - Barcelona - 14/04/2011

Montar ficheros .ISO en un directorio.

Imagen ISO es un archivo donde se almacena una copia o imagen exacta de un sistema de ficheros, normalmente un disco óptico. Se rige por el estándar ISO 9660 que le da nombre. Algunos de los usos más comunes incluyen la distribución de sistemas operativos, tales como sistemas GNU/Linux, BSD o Live CDs.

Para montar este tipo de archivos en un directorio y poder utilizarlo, podemos:

sudo modprobe loop
sudo mount filename.iso /media -t iso9660 -o loop

Con esto deberias tener esa imagen ISO montada en el directorio /media. Pero ¿que ocurre sino es asi? En ciertas ocasiones algunos ficheros ISO están montados según la norma ISO: ISO-13346.

Para este cas orecomiendo instalar  Furius ISO Mount.

sudo apt-get install furiusisomount

Despues de la instalacion podremos montar este tipo de ficheros de una forma manual :

 sudo mount filename.iso /media -t udf -o loop

O montarlo de forma grafica.

Como transformar tu PC en un Firewall con Iptables.

En ciertas ocasiones, alguien, dispone de un PC antiguo y no sabemos que hacer con el. Con Linux podemos transformarlo en un firewall bastante potente para tu Pc.
El mapa sería el siguiente:

Para este procedimiento debemos disponer de dos tarjetas de red, un cable de red cruzado y un PC.

Descubrir que puertos tenemos abiertos.

Si queremos saber que puertos tenemos abiertos y que servicios tenemos corriendo por ellos podemos hacerlo de una forma fácil y sencilla.

Primero debemos instalar nmap, un scanner de puerto muy potente.

sudo apt-get install nmap

Si tenemos configurado iptables debemos eliminar todas las reglas y permitir todo el trafico entrante.

Ocultar informacion, facil y sencillo.

En muchas ocasiones necesitamos ocultar ficheros para evitar que familia o amigos o hermanos puedan ver. Normalmente buscamos manuales mas o menos complicados de como podemos cifrar ficheros y directorios.

Aquí presento una forma alternativa de ocultar datos que no queremos que terceras personas vean, no es tan seguro como cifrar la información pero es sencillo, fácil y multiplataforma.
Lo único que debemos tener disponible es rar.

El sistema se trata de ocultar la información en un fichero .rar protegido con contraseña y esconderlo tras una foto.

IPTABLES, usando diferentes cadenas.

#!/bin/sh
# Establecemos politicas por defecto
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
#
/sbin/iptables -N input_wlan0
/sbin/iptables -N input_eth0
#
# Empezamos a introducir reglas para el trafico entrante.
# Evitamos scanners de puertos limitando los paquetes icmp y flags.
#
/sbin/iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP
/sbin/iptables -A INPUT -m pkttype --pkt-type multicast -j DROP
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN -m limit --limit 1/sec -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN -j DROP
/sbin/iptables -A INPUT -p icmp -m limit --limit 2/sec -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j REJECT --reject-with icmp-proto-unreachable
/sbin/iptables -I INPUT -d localhost -j ACCEPT
#
# Reglas que impiden el spoofing.
#
/sbin/iptables -A INPUT -s 172.0.0.0/8 -j DROP
/sbin/iptables -A INPUT -s 169.254.0.0/16 -j DROP
/sbin/iptables -A INPUT -s 10.0.0.0/8 -j DROP
/sbin/iptables -A INPUT -s 224.0.0.0/3 -j DROP
/sbin/iptables -A INPUT -s 240.0.0.0/5 -j DROP
/sbin/iptables -A INPUT -s 0.0.0.0/8 -j DROP

Evitar Buffer Overflows

En seguridad informática y programación, un desbordamiento de buffer (del inglés buffer overflow o buffer overrun) es un error de software que se produce cuando un programa no controla adecuadamente la cantidad de datos que se copian sobre un área de memoria reservada a tal efecto (buffer), de forma que si dicha cantidad es superior a la capacidad preasignada los bytes sobrantes se almacenan en zonas de memoria adyacentes, sobrescribiendo su contenido original. Esto constituye un fallo de programación.

Buffer Overflows son una fuente muy fertil de bugs y ataques maliciosos (xploits).
Protegernos de este tipo de ataques no es facil pero podemos hacer difícil a un atacante.

Un ejemplo de un Buffer Overflow podemos encontrarlo aqui , en el enlace nos explica que un atacante podría producir una denegacion de servicio mediante un fallo en el programa wireshark.

[Script y Notify-send] Creando directorios.

Ubuntu Script

Anteriormente hemos hablado de notify-send y como integrarlo en nuestros script.
Aqui muestro un ejemplo, de un script que nos va a preguntar que directorio deseamos crear, si existe nos lo dirá y sino lo creará.

#!/bin/bash
clear
echo -n "¿Que directorio desea crear? "; read DIREC;
existe=`ls | grep $DIREC`
if [ "$existe" = "" ]; then
mkdir $DIREC &
notify-send -i start-here "Aviso " "Se ha creado el directorio $DIREC"
else
notify-send -i start-here "Aviso " "el directorio $DIREC ya existe"
fi

iptables, Crear cadenas

Con la opción "-N" de iptables un usuario puede definir una cadena propia a la cual asociarle posteriormente un conjunto de reglas de la misma forma que se hace con las cadenas predefinidas.

En este caso voy a crear dos cadenas, una con reglas para el trafico entrante con por la tarjeta ethernet del PC y otra para el trafico entrante por el wifi (wlan0 en este caso). Vosotros podéis crear cadenas para lo que queráis, cadena por origen , por destino, por tipo de trafico, son muchas las opciones.

Lo primero creamos la cadena, para ello le damos el nombre que queramos, yo he escogido input_wlan0  e input_eth0.

/sbin/iptables -N input_wlan0
/sbin/iptables -N input_eth0

Linux Modulos Pam

PAM ofrece las ventajas siguientes:

Un esquema de autenticación común que se puede usar con una gran variedad de aplicaciones.

Gran flexibilidad y control de la autentificación tanto para los administradores de sistemas como para los desarrolladores de la aplicación.
Una biblioteca bien documentada que permite a los desarrolladores de aplicaciones desarrollar programas sin tener que crear sus propios esquemas de autenticación.

Archivos de configuración y servicios PAM

El directorio /etc/pam.d/ contiene los archivos de configuración de PAM para cada aplicación tipo PAM. En versiones antiguas de PAM se utilizaba /etc/pam.conf, pero este archivo ya no se utiliza y solamente es usado si el directorio /etc/pam.d/ no existe.

Cada aplicación tipo PAM o servicios tiene un archivo dentro del directorio /etc/pam.d/. Cada uno de estos archivos llevan el nombre del servicio para el cual controla el acceso. Depende del programa tipo PAM definir el nombre de su servicio e instalar su archivo de configuración en el directorio /etc/pam.d/. Por ejemplo, el programa login define su nombre de servicio como login e instala el archivo de configuración PAM /etc/pam.d/login

Formato de archivo de configuración PAM

Cada archivo de configuración PAM contiene un grupo de directivas formateadas como sigue:

Cada aplicación tipo PAM o servicios tiene un archivo dentro del directorio /etc/pam.d/. Cada uno de estos archivos llevan el nombre del servicio para el cual controla el acceso. Depende del programa tipo PAM definir el nombre de su servicio e instalar su archivo de configuración en el directorio /etc/pam.d/. Por ejemplo, el programa login define su nombre de servicio como login e instala el archivo de configuración PAM /etc/pam.d/login

<module interface>
<control flag>
<module name>
<module arguments>

Iptables, reglas de utilidad

1.0 String patch
Permite o descarta el trafico que contenga una cadena, en  este caso cualquier paquete que contenga  "|90 90 90 90 90 90|" y tenga como puerto destino el 80. (en este caso nos protegemos de un tipo de "buffer overflow exploits")

/sbin/iptables -A INPUT -p tcp --dport 80 -m string --algo bm --hex-string "|90 90 90 90 90 90|" -j DROP

2.0 Time patch 
Permite el acceso a un puerto determinado durante ciertas horas del dia. Ideal para controlar el acceso a internet a tus hijos/as.

/sbin/iptables -A INPUT -p tcp --dport 80 -m time --timestart 8:00 --timestop 18:00 --weekdays Mon,Tue,Wed,Thu,Fri -j ACCEPT

[kubuntu 10.10] Problemas con knetworkmanager (WIFI)

Como en todas las distribuciones kubuntu, nada mas instalar kubuntu no he podido conectarme al wifi porque me ha dado problemas knetworkmanager. Si ese es nuestro caso, es decir lo configuramos y por mas que "pinchemos" sobre nuestro wifi no hace nada podemos hacer lo siguiente:

Abrimos una consola y ponemos:

sudo NetworkManager

El cual nos dará una salida:

laptop:~$ sudo NetworkManager
NetworkManager is already running (pid 998)

El número 998 que podemos ver en este ejemplo es el PID y debemos "matarlo", ¿como?:

laptop:~$ sudo kill 998

Y ya está, ahora lo volvemos a ejecutar pero esta vez como root:

laptop:~$ sudo NetworkManager

Ahora deberíamos poder conectarnos a nuestro WIFI, solo nos queda actualizar nuestro linux:

laptop:~$ sudo apt-get update
laptop:~$ sudo apt-get upgrade

Reiniciamos y no deberiamos tener mas problemas con el mismo.Si aun continuais con el problema recordar que habeis cambiado despues de instalar kubuntu y tratar de deshacer los cambios, sino reinstalar kubuntu y hacer este proceso, en primer lugar.

[Opensuse 11.4] Iptables by Default

# Generated by iptables-save v1.4.10 on Sat Mar 19 03:39:59 2011
*raw
:PREROUTING ACCEPT [552117:803124203]
:OUTPUT ACCEPT [261452:16766778]
-A PREROUTING -i lo -j NOTRACK
-A OUTPUT -o lo -j NOTRACK
COMMIT
# Completed on Sat Mar 19 03:39:59 2011
# Generated by iptables-save v1.4.10 on Sat Mar 19 03:39:59 2011
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [260759:16743145]
:forward_ext - [0:0]
:input_ext - [0:0]
:reject_func - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m conntrack --ctstate RELATED -j ACCEPT
-A INPUT -i wlan0 -j input_ext
-A INPUT -i eth0 -j input_ext
-A INPUT -j input_ext
-A INPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-IN-ILL-TARGET " --log-tcp-options --log-ip-options
-A INPUT -j DROP
-A FORWARD -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWD-ILL-ROUTING " --log-tcp-options --log-ip-options
-A OUTPUT -o lo -j ACCEPT
-A input_ext -m pkttype --pkt-type broadcast -j DROP
-A input_ext -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A input_ext -m pkttype --pkt-type multicast -j DROP
-A input_ext -m pkttype --pkt-type broadcast -j DROP
-A input_ext -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -p udp -m limit --limit 3/min -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -j DROP
-A reject_func -p tcp -j REJECT --reject-with tcp-reset
-A reject_func -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject_func -j REJECT --reject-with icmp-proto-unreachable
COMMIT

[Opensuse 11.4] Permisos de ficheros, modo paranoico

/var/lib/xemacs/lock/ root:trusted 1775# for screen's session sockets:
/var/run/uscreens/ root:trusted 1775
#
# /etc
#
/etc/crontab root:root 600
/etc/exports root:root 600
/etc/fstab root:root 600
/etc/ftpaccess root:root 600
/etc/ftpusers root:root 600
/etc/rmtab root:root 600
/var/lib/nfs/rmtab root:root 600
/etc/syslog.conf root:root 600
#
# suid system programs that need the suid bit to work:
#
/bin/su root:root 0755
# disable at and cron for non-root users
/usr/bin/at root:trusted 0755
/usr/bin/crontab root:trusted 0755
/usr/bin/gpasswd root:shadow 0755
/usr/bin/newgrp root:root 0755
/usr/bin/passwd root:shadow 0755
/usr/bin/chfn root:shadow 0755
/usr/bin/chage root:shadow 0755
/usr/bin/chsh root:shadow 0755
/usr/bin/expiry root:shadow 0755

PROBANDO OpenSUSE 11.4

Hace dos dias de-instale Ubuntu en mi laptop (toshiba satellite A200) para usar openSUSE 11.4 (x64) y por si alguien tiene dudas o quiere saber que tal funciona esta distro puedo decir (sobre esta Distro en mi Laptop, ignoro si ocurre lo mismo en otros PC):

• La instalación es sencilla, excepto si queremos particionar el disco duro, esta parte es un poco mas compleja que en ubuntu.

•  Una nota curiosa, SUSE reconoce todas las teclas "Funcion" de mi laptop, al contrario que Ubuntu la cual solo reconoce algunas teclas de funcion.

[GIP] Aplicacion Gip para calculo de IPv4

Si necesitamos una calculadora IP para realizar nuestros calculos de Ipv4, podemos usar gip. Una aplicacion facil de usar:


Install Gip in Ubuntu
sudo apt-get install gip

[notify-osd] Personalizar las ventanas emergentes en UBUNTU

En ubuntu de notify-osd el cual nos informará de cuando se realizan ciertas tareas como musica o cuando se conecta algun usuario:

[SMARTMONTOOLS] Testeo de tu disco duro en Ubuntu/Debian

Para analizar el estado de tu disco duro en debian o Ubuntu podemos usar una herramienta conocida como smartmontools.

sudo apt-get install smartmontools

Smartmontools consta de dos aplicaciones, smartctl que realiza testeos manualmente y el demonio smartd que controla automáticamente los discos que hayamos marcado y envia los resultados al syslog o a un usuario.

Primero, listar los discos duros que disponemos para testearlos posteriormente:

laptop:~$ df -l
S.archivos Bloques de 1K Usado Dispon Uso% Montado en
/dev/sda5 4804736 1061908 3498760 24% /
none 1014244 280 1013964 1% /dev
none 1023888 212 1023676 1% /dev/shm
none 1023888 208 1023680 1% /var/run
none 1023888 0 1023888 0% /var/lock
/dev/sda9 85580216 21658064 59574864 27% /home
/dev/sda1 9611492 3473944 5649308 39% /usr
/dev/sda6 5766260 798912 4674436 15% /var
/dev/sda7 5766260 142588 5330760 3% /tmp

Android: Se encuentra el primer virus a gran escala en más de 50 aplicaciones

Script, Como bloquear ip de forma masiva y sin esfuerzo usando IPTABLES

En ciertas ocasiones necesitamos impedir que ciertas IP puedan acceder a nuestro servidor, pero hacerlo suele ser complicado. Por este motivo vamos a hacerlo mediante un script:
Para esto vamos a necesitar crear dos ficheros, uno donde iran las ip's en este formato:

192.168.2.1/24

Y otro fichero donde guardaremos nuestra configuracion de iptables + script.

Redes Botnet

Definición de Red Botnet (Wikipedia): "Botnet es un término que hace referencia a un conjunto de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet (llamado pastor) puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC: Las nuevas versiones de estas botnets se están enfocando hacia entornos de control mediante HTTP, con lo que el control de estas máquinas será mucho más simple. Sus fines normalmente son poco éticos."

Instalar flash en Ubuntu 10.10 para Firefox y Chrome

Para instalar flash para firefox y chrome :

Primero instalamos los complementos restrictivos con apt (para instalar java, flash, etc), después debemos copiar el fichero flash desde,

/var/lib/flashplugin-installer/npwrapper.libflashplayer.so

Al fichero de firefox,

/usr/lib/firefox-3.6.13/plugins/
 

Mi primera experiencia con un sniffer. (Parte 2)

Ahora voy a activar el sniffer desde un PC sobremesa conectado directamente al router mediante un cable ethernet.
Los pasos a seguir igual que en el paso 1, activar el reenvío de paquetes y envenenar la tabla ARP.
Activo el sniffer:

#dsniff -i eth0

Desde mi laptop accedo a la pagina de www.msn.es y www.elpais.es.
La salida que me da es la que sigue:

dsniff: listening on eth1

Mi primera experiencia con un sniffer. (Parte 1)

Cuantas veces no habeis tenido algún vecino que os roba internet? Pues con un sniffer podeis ver todo lo que hace y enviarle un mail pidiendo amablemente que deje de robarte, eso le hará pensar. Para esto vamos a usar Dsniff.

Dsniff es un sniffer muy potente. Hoy voy a relatar mi primera experiencia con este sniffer.
Para ello voy a usar una cuenta propia de gmail, mediante el cliente Evolucion, opera para navegar por internet y skype.

Iptables, --hashlimit

Hashlimit es una opción muy potente de iptables que tiene la capacidad de limitar el número de conexiones entrantes, a un servidor http, ssh, ftp...

Basicamente la estructura para poder usar esta opcion es :


iptables -A INPUT -m hashlimit --hashlimit-upto X/min --hashlimit-burst X --hashlimit-mode srcip --hashlimit-name ssh -p tcp --dport 22 -j ACCEPT

--hashlimit-upto -->  Si el numero de paquetes es igual o inferior a la cantidad indicada, se aplica la regla (ACCEPT en este caso).

--hashlimit-burst --> Máximo numero de paquetes a "machear".

--hashlimit-mode --> Especifica que valor usaremos como valor "hash".

--hashlimit-name --> Nombre para la entrada en /proc/net/ipt_hashlimit/

Técnicas de deteccion de Sniffer en nuestra red.

Interesante articulo que explica las diferentes técnicas de detección de sniffer.


El test DNS En este método, la herramienta de detección en sí misma está en modo promiscuo. Creamos numerosas conexiones TCP falsas en nuestro segmento de red, esperando un sniffer pobremente escrito para atrapar estas conexiones y resolver la dirección IP de los inexistentes hosts. Algunos sniffers realizan búsquedas inversas DNS en los paquetes que capturan. Cuando se realiza una búsqueda inversa DNS, un utilidad de detección de sniffers "huele" la petición de las operaciones de búsqueda para ver si el objetivo es aquel que realiza la petición del host inexistente.

Como proteger mi ordenador para que no se metan en èl desde internet?

Pues la solución es bien sencilla, desconectalo de internet y ya está. Seguro.

;)

Ataques DDOS, como protegernos de estos ataques

Existen multitud de ataques DDoS: Direct Attacks, TTL expiry attack, IP unreachable attack, ICMP transit attacks, Reflection Attacks, etc.
La contención de los mismos resulta muy complicada sobre todo cuando se trata de un gran volumen de tráfico.
Contar con dispositivos que permitan frenar estos ataques resulta costoso, por este motivo contactar con el ISP es la idea más acertada.

Sin embargo, cuando el ataque DDoS no es extremadamente excesivo, una
configuración adecuada del sistema operativo y de los servicios afectados puede
ayudar en gran parte a contrarrestar el ataque. Ejemplo de ello son ciertos parámetros del kernel de Linux que nos permiten modificar el comportamiento de éste bajo ciertas condiciones y que resultarán muy útiles para blindar nuestro servidor en ciertas circunstancias.

Fichero /etc/services

El fichero /etc/services contiene un listado de todos los puertos (tcp y udp)  y los servicios que corren por ellos según la IANA.

Este fichero es usado por todo programa, que necesite usar internet, para examinar que puerto y protocolo debe usar. Así como outlook buscará el puerto a usar para recibir correos a través de POP (106, 109, 110) o enviar a través de SMTP (25, 465 a través de SSL/TTL).

Si queremos actualizar esta información podemos hacerlo a través de este link:

http://www.freebsd.org/cgi/cvsweb.cgi/~checkout~/src/etc/services?rev=1.113.2.2.2.1;content-type=text%2Fplain

Mas detalles: man services

Iptables, ejemplos (politica DROP)

## Vaciamos las reglas
iptables -F
iptables -X
iptables -t nat -F

## Establecemos predeterminada
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# permitimos el tráfico loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Configuramos el acceso a nuestra IP
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --sport 1:1024 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 1025:65535 ! --syn -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --sport 1:1024 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -d 0/0 -p tcp --sport 1025:65535 -j ACCEPT

iptables -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT

ShmooCon 2011: USB Autorun attacks against Linux

Un vídeo explicativo acerca de los Ataques autorun USB:

[Aplicacion] Linux Malware Detect

Linux Malware Detect es una sistema deteccion de intrusiones para linux con licencia GPL v2 que extrae ese malware usado para acceder a nuestro PC con capacidad para crear nuevas firmas de detección.


Esta aplicacion es una buena forma de protegernos frente a amenazas que solo afectan a equipos con Linux.

Dirección de la aplicacion:
http://www.rfxn.com/projects/linux-malware-detect/

Tipos de Virus

Fuente Wikipedia:

EL listado que se muestra a continuacion, es un listado de virus que pueden infectar un PC con Linux como S.O. Aunque el numero de virus es minimo, como se puede ver, si un binario tuviera uno de estos virus el nivel de infección dependería del nivel de privilegios que tuviera el usuario que lo ejecuta :

Malware en Linux a traves de Wine

En ciertas ocasiones un usuario necesita usar alguna aplicación Windows , bien por motivos profesionales o personales, en un PC Linux. Para esto es muy frecuente usar Wine, una aplicacion que te permite ejecutar aplicaciones Windows en Linux.

Ahora bien, un investigador de Mcafee ha descubierto que bajo ciertas circunstancias si se ejecuta una aplicacion windows en linux mediante Wine, dicho equipo Linux podría originar una infección a otros dispositivos o PC, sin que esto le afectara a si mismo.

[PTE DE REVISION] Como detectar escalada de privilegios en Linux

¿Que protección dispone nuestro linux una vez que un  atacante se hace con un usuario no administrador de nuestro PC?

En principio no disponemos mas que de la "Lista de Control de Acceso" propia de nuestro linux. aun asi es bueno disponer de alguna herramienta que nos avise cuando algún binario, demonio, etc intenta ejecutarse en modo root..

Ninja es un programa que nos avisa de cuando algun binario, demonio, etc está intentando ejecutarse con derechos de Root. Ninja, además es capaz de detener este proceso por seguridad.

                                                                                              Fuente: http://www.dragonjar.org

[Articulo de Cisco] CISCO RESPONSE TO DICTIONARY ATTACKS

CISCO RESPONSE TO DICTIONARY ATTACKS ON CISCO LEAP

OVERVIEW

ISSUE

DEFINING A DICTIONARY ATTACK

Offline Dictionary Attack Against MS-CHAP

DICTIONARY ATTACK MITIGATION

KEEPING YOUR WIRELESS NETWORK SECURE

IMPLEMENTING STRONG PASSWORD POLICIES

CISCO SECURE ACCESS CONTROL SERVER PASSWORD ENFORCEMENT

EAP-FAST IMPLEMENTATION

PEAP IMPLEMENTATION

ADDITIONAL INFORMATION

APPENDIX A: PASSWORD CREATION AND MANAGEMENT INFORMATION

Reviewing The Strength Of User Passwords

LC4

Sincroniza el reloj del hardware (también llamado reloj de la BIOS y reloj CMOS)

La hora del sistema puede no coincidir con el reloj del hardware. Con el siguiente comando sincronizamos ambos.

sudo hwclock --systohc

Video recomendado de Cisco

Video recomendado de Cisco. Enseña como funciona una red de comunicaciones, como Internet.

[Problema] CE: hpet increased min_delta_ns to 7500 nsec

Wikipedia:

HPET (High Precision Event Timer, anteriormente conocido como Multimedia Timer) es un hardware de tiempo usado en computadoras. Este sistema fue desarrollado por Intel y Microsoft.

Anteriormente los sistemas operativos no usaban el HPET y solo corrían en hardware que contenga que tenia menos tiempos de ejecución.

Certificaciones Profesionales relacionadas con Linux

Pulsa aqui para ir a la web relacionada con Certificacion Linux LPI

Selinux

1.¿QUE ES, QUIEN LO CREO , ETC... ? .......................................3

2.ARCHIVOS DE CONFIGURCIÓN.................................................4

3. ARRANCANDO SELINUX......................................................8

4. PRIMER ARRANQUE.........................................................9

5. OBTENER EL ESTADO DE SELINUX...........................................10

6. SEMANAGE...............................................................11

7. SELINUX-POLICY-MLS.....................................................13

8. Selinux MCS (Multi-category Security)..................................13

9. PRIMER INICIO AGREGANDO PERMISOS.......................................15

10. FUNCIONANDO CON ARCHIVOS...............................................16

11. Selinux Default en Debian 5.0 y Ubuntu ..............................

12. ALGUNAS PREGUNTAS DE INTERES..........................................16

Fstab

/ ext4 errors=remount-ro 0 1
/home ext4 defaults,noexec,nosuid,nodev 0 2
/tmp ext4 defaults,noexec,nosuid,nodev 0 2
/usr ext4 defaults,ro 0 2
/var ext4 defaults,noexec,nosuid,nodev 0 2
none swap sw 0 0
~

Iptables

#!/bin/sh
# Establecemos politicas por defecto
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
# /sbin/iptables -t nat -P PREROUTING DROP
# /sbin/iptables -t nat -P POSTROUTING DROP
#
# Empezamos a introducir reglas para el trafico entrante.
# Evitamos scanners de puertos limitando los paquetes icmp y flags.
#
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN -m limit --limit 1/sec -j ACCEPT
/sbin/iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN -j DROP
/sbin/iptables -A INPUT -p icmp -m limit --limit 2/sec -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j DROP
/sbin/iptables -I INPUT -d localhost -j ACCEPT
#
# Reglas que impiden el spoofing.
#